DSGVO; Köln; Kommune; Stadt; Frank Fricke; Datenschutz; Verwaltung

Keine Wunsch-, sondern eine Pflichtveranstaltung!

Köln arbeitet seit zwei Jahren an der Umsetzung des neuen Datenschutzrechts / Datenschützer Fricke: „Nachvollziehbar darlegen, zielgerichtet vorgehen“

„Und auf einmal: Weihnachten!“ Ähnlich geht es derzeit wohl vielen Datenschutzverantwortlichen mit dem 25. Mai 2018. Anstelle von Geschenken gibt es bis zum Stichtag der EU-Datenschutzgrund-verordnung allerdings noch sehr viel zu tun. Das gilt vielerorts auch für Einrichtungen der öffentlichen Hand. Die Stadt Köln hat die gesetzliche Verpflichtung frühzeitig als Aufgabe erkannt, der durch ein wohlstrukturiertes Projektmanagement nachzukommen ist. Ein Best Practice-Bericht vom Rhein.

So viel steht fest: Ohne ein gut durchdachtes Projektmanagement samt Organisationsstruktur, gewillten Führungskräften und nicht zuletzt einem versierten Datenschutzbeauftragten wird es größeren Behörden schwer fallen, den neuen Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO; hier kurz: DSGVO) zu genügen.

Wichtig für einen effektiven und gesetzeskonformen Datenschutz: Kölns Datenschutzbeauftragter hat die volle Unterstützung der Rathausspitze.
© Von ​Wikipedia Benutzer Arminia, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=57166

Seit 2016 bereits in Kraft

In Köln, der mit rund 19.000 Mitarbeitern zweitgrößten deutschen Kommunalverwaltung, hat man schon im Frühsommer 2016 damit begonnen, sich auf die Umsetzung der DSGVO vorzubereiten. Zur Erinnerung: Die Richtlinie ist bereits seit 25. März 2016 unmittelbar rechtswirkend in Kraft. Weil diese Entscheidung selbst in Brüssel für viele überraschend schnell kam, wurde der Umsetzungstermin um zwei Jahre nach hinten verschoben, um allen Betroffenen, der freien Wirtschaft und den staatlichen Institutionen Zeit für die Umsetzung der neuen Regelungen zu geben. Voilà – und schon sind wir im Mai 2018!

Frank Fricke kümmert sich als Datenschutzbeauftragter und Projektmanager um die Umsetzung der EU-DSGVO in der Stadt Köln.
© privat

Mit „bestelltem Haus“ an die DSGVO

Hauptakteur bei der Umsetzung der DSGVO in Köln ist der Datenschutzbeauftragte Frank Fricke. Der studierte Verwaltungswirt übernahm Mitte 2016 die Vollzeitstelle von seinem Vorgänger, der 14 Jahre gute Grundlagen legte und „ein bestelltes Haus“ hinterließ, wie Fricke unterstreicht. Nach einem viermonatigen Übergabeprozess und einer Zertifizierungsschulung stand der 53-Jährige kurz nach Amtsübernahme allerdings plötzlich vor der neuen DSGVO – und so vor einer weitaus größeren Herausforderung als bei Antritt der Funktion gedacht. Gleichzeitig wurde die damalige Sozialdezernentin Henriette Reker bei den OB-Wahlen zum Kölner Stadtoberhaupt gewählt. Rückblickend wohl ein glücklicher Umstand für die guten Bedingungen, unter denen in Köln die Umsetzung der DSGVO nun gelingen konnte.  

»

Kurz nach Henriette Rekers Amtsübernahme als Oberbürgermeisterin hatte sie ein offenes Ohr für die DSGVO und deren Dringlichkeit.

«

Vertrauensverhältnis mit der Oberbürgermeisterin

Oberbürgermeisterbüros großer Städte arbeiten damit ähnlich wie Staatskanzleien auf Bundes- und Landesebene. Fricke arbeitete zuvor im Büro des vorigen Kölner OB Jürgen Roters und war als Referent zuständig für das Sozialdezernat. „Frau Reker war meine damalige Spiegeldezernentin“, erklärt der Verwaltungsexperte. Beide hatten über mehrere Jahre ein belastbares Vertrauensverhältnis aufgebaut. „Kurz nach Rekers Amtsübernahme als Oberbürgermeisterin hatte sie ein offenes Ohr für die DSGVO und deren Dringlichkeit.“ Die Oberbürgermeisterin zog die Verantwortung für die Implementierung der DSGVO an sich.


Exkurs: Datenschutz-beauftragter in Köln

Der Datenschutzbeauftragte ist auch nach den Regelungen der DSGVO weiterhin weisungsfrei und in Köln unmittelbar an die Oberbürgermeisterin angebunden. Die Funktion ist unabhängig darin, in welcher Art und Weise sie ausgeübt wird. Die frühere „Hinweisungspflicht“ ist mit der DSGVO nun zu einer Beratungs- und Kontrollverpflichtung des Beauftragten gegenüber seiner Kommune als „verantwortliche Stelle“ geworden. In der Dom-Stadt schließt das die Kernverwaltung ein, nicht aber Eigenbetriebe bzw. stadteigene Unternehmen, die eigene Datenschützer benannt haben.  


Stadtspitze übernahm Verantwortung

Nach dem ersten „Go“ der politischen Stadtspitze erarbeitete Fricke bis Ende 2016 ein Umsetzungskonzept. Dies enthält verschiedene Instrumente, Verfahren und Regelungen. „Das Konzept habe ich dem Verwaltungsvorstand – der Oberbürgermeisterin und den Fachbeigeordneten – vorgestellt. Es wurde beschlossen und ich wurde gebeten, auf dieser Grundlage die Umsetzung der DSGVO bei der Stadtverwaltung Köln voranzutreiben.“, erklärt Fricke. So einfach sich das anhört, so bedeutsam war dieser Schritt: „Die Stadtspitze hatte ihre Verantwortung für den Umsetzungsprozess als sogenannte „verantwortliche Stelle“ übernommen und mich als Beauftragten für den Datenschutz im Rahmen meiner Aufgaben in den Prozess verantwortlich eingebunden.“ Das war ein effektives Signal in die Fachämter und Dienststellen hinein nach dem Motto: dieser Umsetzungsprozess ist keine Wunsch-, sondern eine Pflichtveranstaltung!    

Interdisziplinäre Projektgruppe

Im Zentrum der Umsetzungskoordination steht seit Mai 2017 eine fachübergreifende Projektgruppe. Die Mitglieder setzen sich aus benannten Vertretern der insgesamt acht Dezernate zusammen bzw. aus Amtsleitern oder zuständigen Referenten aus nachgelagerten Fachdienststellen. Fricke spricht von einer „bunten Mischung“, die seit anderthalb Jahren effizient zusammenarbeite. „Der Informationsfluss in die Dezernate und aus den Dezernaten heraus verläuft reibungslos.“ Einberufen, geleitet und protokolliert wird die Projektgruppe verantwortlich durch das OB-Büro. Der Datenschützer informiert in den monatlichen – oder nach Bedarf anberaumten – Sitzungen zum Stand der Umsetzung des Vorgehensmodells.

Der Datenschutzverantwortliche (OB 7) koordiniert die Projektgruppe zur Umsetzung der DSGVO fachlich; die Leitung des Gremiums liegt bei der Oberbürgermeisterin bzw. ihrer Stellvertreterin.
© Beauftragter für den Datenschutz, Stadt Köln

Weiter gehören dem Gremium Personen des Informationsverarbeitungsamtes, der IT-Sicherheit, des Personal- und Organisationsamtes und des Gesamtpersonalrats an. „Wir haben die Personalvertretung von Beginn an mitgenommen. Das war uns im Wege der vertrauensvollen Zusammenarbeit und möglichen Unsicherheiten auf der Seite der Beschäftigten wichtig.“

Drei Pilot-Behörden

Um die Belastbarkeit des Vorgehensmodells zu testen und es an der Praxis zu messen, führte die Stadt von März bis Juni 2017 eine Pilotphase durch. Daran beteiligten sich mit dem Sozial- und Ordnungsamt zwei große und mit einer Dienststelle aus dem Jugenddezernat ein kleine Dienststelle. „Wir haben noch einmal an ein paar Stellschräubchen gedreht und konnten im Verwaltungsvorstand ein positives Zwischenresümee ziehen.“   

Prozesse standardisiert abbilden: Die dezentral Verantwortlichen in den Ämtern können bei der Umsetzung der DSGVO auf ein eigens entwickeltes Web-Portal zurückgreifen.
© Der Beauftragte für den Datenschutz, Stadt Köln

Eigenes Web-Portal entwickelt

Vor dem Gesamt-Rollout ab Herbst 2017 gab es pro Dezernat Einweisungsschulungen für diejenigen, die in jedem Amt als Verantwortliche für die Umsetzung der DSGVO benannt wurden. Dabei ging es um das detaillierte Vorgehen und wie mit den hohen Standards des bisherigen Datenschutzes umzugehen ist. Auch eine Einführung zum Umgang mit der Web-Anwendung gehörte dazu. Diese wurde eigens vom Informationsverarbeitungsamt für das Projekt entwickelt. „Das Portal hilft uns, um die notwendigen Tätigkeiten und Prüfschritte, die in den Ämtern umgesetzt werden müssen, standardisiert dokumentieren und controllen zu können“, erklärt Fricke. „Es bildet die Prüferfordernisse übersichtlich ab und zeigt anhand von konkreten Prüfschritten, was erledigt ist und inwieweit der Zielzustand nach DSGVO bereits erreicht ist.“ Ein unerlässliches Hilfsinstrument, für die Verantwortlichen in den Ämtern, wie auch für den Datenschutzbeauftragten.     

»

Das Portal hilft uns, um die notwendigen Tätigkeiten und Prüfschritte, die in den Ämtern umgesetzt werden müssen, standardisiert dokumentieren und controllen zu können.

«

Amtsleiter-Meetings: „elementar wichtige Termine“

Schließlich veranstaltete Fricke auf Bitten des Verwaltungsvorstandes seit dem Frühjahr 2017 acht Informationsveranstaltungen mit den jeweiligen Leitungskräften der rd. 80 Fachdienststellen. Fricke spricht von einem „elementar wichtigen Termin“. Ziel war es, die jeweilige Führungsebene baldige Änderungen im Zuge der DSGVO zu informieren und für diesen Umsetzungsprozess zu sensibilisieren. Fricke betont, dass es sich hier um Zusatzaufgaben handelt, die von den Beschäftigten neben ihren eigentlichen Fachaufgaben zu erledigen sind. „Ich weiß, dass den umsetzungsverantwortlichen Kolleginnen und Kollegen hier eine Extrameile abverlangt wird, aber leider haben wir mit Blick auf den 25. Mai 2018 keine Wahl.“

Fachebene stärker in der Pflicht

Nach bisheriger Regelung besitzt der Datenschutzbeauftragte die Kompetenz zur finalen Freigabe von Vorgängen mit datenschutzrechtlicher Relevanz. Dies betrifft zum Beispiel die Freigabe von IT-Fachanwendungen mit personenbezogenen Daten vor der Produktivsetzung sowie Maßnahmen zur Videoüberwachung oder Auftragsverarbeitung. Das neue DSGVO nimmt nun die fachlichen Leiter stärker in die Pflicht. In Köln werden dies die Amtsleiter. „Ich bin nicht raus aus diesen Prüfprozessen“, so Fricke, „sondern stehe jetzt beratend und für die nach der DSGVO verpflichtend vorgesehenen Konsultationen zur Verfügung.“ Der Umfang seiner Einbindung in diese Prozesse werde sich jedoch in keiner Weise ändern: Was für Fricke bislang die Freizeichnung war, ist nun der Konsultationsbericht.

Der Konsultationsbericht

Darin wird der Datenschutzbeauftragte seine Begleitung des datenschutzrechtlichen Zulässigkeitsverfahrens dokumentieren, seinen Standpunkt begründen und ggf. vom zuständigen Fachamt abweichende Regelungsinhalte feststellen. Sein Votum ist aber nicht mehr bindend. „Ich habe derzeit allerdings nicht die Fantasie, dass es am Ende einer Prüfung zu einer elementaren Frontstellung zwischen dem Datenschutzbeauftragten und einer Dienststellenleitung kommt. Bisher haben wir solche Situationen auch in der Vergangenheit im Konsens, orientiert an den datenschutz- und IT-sicherheitstechnischen Notwendigkeiten, gelöst.“

»

Ich habe derzeit  nicht die Fantasie, dass es am Ende einer Prüfung zu einer elementaren Frontstellung zwischen dem Datenschutz-beauftragten und einer Dienststellenleitung kommt.

«

Es existieren aber auch Eskalationsmöglichkeiten für Fälle, die nicht im Konsens erledigt werden können. Der Datenschutzbeauftragte kann in solchen Situationen den zuständigen Fachbeigeordneten oder am Ende auch die Oberbürgermeisterin einschalten. Letztlich könnte gar die zuständige Datenschutzaufsichtsbehörde hinzugezogen werden. Die Übernahme der finalen Verantwortung in Form der Schlusszeichnung für datenschutzrechtliche Prüfprozesse ist jedoch in der DSGVO nicht konkret festgelegt. Bisher war der Datenschutzbeauftragte zuständig, nun sollen dies offenbar die Dienststellenleitungen übernehmen.  

Auf Ebene der Dienststellenleiter richtig

Die DSGVO regelt in diesem Zusammenhang, dass die Zulässigkeitsprüfungen – bezeichnet als Datenschutzfolgenabschätzungen – künftig durch die „verantwortliche Stellen“ innerhalb der Stadtverwaltung Köln wahrgenommen werden müssen. „Hier sind aus meiner Sicht die zuständigen Dienststellenleitungen die richtigen Ansprechpartner/innen, da diese die fachliche Verantwortung für die in ihrem Amt zu erledigenden Aufgaben tragen.“

Die Prozesse zur datenschutz- und IT-sicherheitstechnischen Prüfung sind bei der Stadtverwaltung seit langem etabliert. Hierzu gehören vielfältige Formulare, mit denen die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten maßnahmengenau geprüft und festgelegt werden. Dieses sogenannte „Inbetriebnahmeverfahren für IT-Fachanwendungen“ ist risiko-, maßnahmen- und technikorientiert und entspricht – mit einigen wenigen Ergänzungen zum Beispiel zum Schutzziel der Belastbarkeit – in der Qualität der von der DSGVO vorgeschriebenen Datenschutzfolgenabschätzung. „Mit diesen Unterlagen und dem Konsultationsbericht des Datenschutzbeauftragten als qualifiziertes Votum sollte es den Leitungskräften möglich sein“, so Fricke, „ihre Verantwortung für die Schlusszeichnung zu übernehmen.“

Wer signiert am Ende? Die Schlusszeichnungsverantwortung liegt künftig nicht mehr beim Datenschutzverantwortlichen, stattdessen verfasst dieser Konsultationsberichte.
© Der Beauftragte für den Datenschutz, Stadt Köln

Rechenschafts- und Dokumentationspflichten

Neben den beschriebenen Veränderungen auf der „Verantwortungsebene“ unterscheidet der Kölner zwischen weiteren Änderungen der System- und einer Prozessebene, aus denen sich ebenfalls Aufgaben ergeben.  

Auf der „Systemebene“ sind es vor allem novellierte Rechenschafts- und Dokumentationspflichten. So müssen etwa Verfahrensverzeichnisse sowie Dienstanweisungen und Meldepflichten (bei Sicherheitsvorfällen an die Aufsichtsbehörde) aktualisiert werden. Die Stadt wird außerdem verpflichtet, wiederkehrende Wirksamkeitsprüfungen durchzuführen und ein IT-Sicherheitsmanagement nach dem „Stand der Technik“ zu installieren.

Die DSGVO erfordert unterschiedliche Maßnahmen auf Verantwortungs-, System- und Prozessebene der Verwaltung.
© Der Verantwortliche für den Datenschutz, Stadt Köln

Absolutes Pflichtprogramm

„Das sind wirklich Dinge, die bis zum 25. Mai vorhanden sein müssen.“ Fricke bezeichnet dies auch als „prioritäre Aufgabe“. Es geht darum, das neue Recht etwa in Richtlinien, Dienstanweisungen und Dienstvereinbarungen entsprechend zu ersetzen. Zumeist reicht es, schlicht die Gesetzesgrundlage zu aktualisieren – eine Art „Umetikettierung“. Noch höher gewichtet der Datenschützer aber die sogenannte „Prüfkategorie II“. Das sind die eben genannten „erweiterten Informationspflichten“ etwa bei Datenschutzerklärungen und Einwilligungen, die bereits zum Zeitpunkt des Erstkontaktes mit den Bürgern z. B. im Rahmen von Antragsverfahren ausgehändigt werden müssen. „Dabei handelt es sich um den einzigen Punkt mit Außenwirkung, an dem die Betroffenen etwas von den Novellierungen mitbekommen könnten.“ Ein absolutes Pflichtprogramm.

Betroffene über den Umgang mit ihren Daten aufklären

Auf „Prozessebene“ dreht es sich darum, den erweiterten Informationspflichten gegenüber Betroffenen nachzukommen. Bürger, Unternehmen und Organisationen sind umgehend darüber aufzuklären, wer der Empfänger ihrer Daten ist, welche Speicherfristen gelten bzw. was für Kriterien angelegt werden, um Fristen überhaupt zu bestimmen. Hinzu kommen Hinweise, welche Rechte Betroffene zur Auskunft und Löschung ihrer Daten besitzen. Und bei welcher Instanz – hier die Landesaufsichtsbehörde – sie sich im Zweifel beschweren können.

Prioritäten setzen: Bis zum 25. Mai müssen vor allem die Prüfkategorien I & II (von links) umgesetzt werden.
© Der Beauftragte für den Datenschutz, Stadt Köln

Nicht erledigte Aufgaben fließen in einen neuen Arbeitsplan

Verfahren, die bis zum Stichtag nicht abgeschlossen sind, fließen in einen weiteren Arbeitsplan ein, werden priorisiert und mit einem neuen Zeitplan unterlegt. Die Stadtverwaltung Köln nutzt den Umstellungsprozess gleichzeitig für eine datenschutzrechtliche Bestandsaufnahme.

»

Wichtig ist aus meiner Sicht, dass wir unser Umsetzungskonzept nachvollziehbar darlegen können und ein konstruktives und zielgerichtetes Vorgehen ersichtlich ist.

«

Neben den IT-Fachanwendungen mit personenbezogenen Daten werden bestehende Access-Datenbanken sowie alle Maßnahmen zur Videoüberwachung und Auftragsverarbeitung auf Aktualität und Umsetzungsbedarf geprüft. Hierbei fallen durch die gestiegene Sensibilität der umsetzungsverantwortlichen Beschäftigten in den Dienststellen ggf. Einzelmaßnahmen auf, für die noch entsprechende Prüfprozesse ausstehen; diese sind dann durch die Fachämter einzuleiten und durch die Konsultation des Datenschutzbeauftragten sicherzustellen. „Wichtig ist aus meiner Sicht, dass wir  unser Umsetzungskonzept nachvollziehbar darlegen können und ein konstruktives und zielgerichtetes Vorgehen ersichtlich ist“, so Fricke. Es sei nicht anzunehmen, dass die Landesdatenschutzbeauftragte gleich am 26. Mai an die Tür klopfen werde.

Gar nicht mal so klein diese EU-Datenschutzgrundverordnung: In Köln ist man seit 2016 und voraussichtlich bis 2019/2020 damit befasst.

Es geht weiter – mindestens bis 2019

Für Köln ist deshalb am 25. Mai längst nicht Schluss in Sachen DSGVO. Die Dom-Stadt liegt laut ihres ersten Datenschützers im kommunalen Umfeld zwar an der Spitze der Bemühungen. Dieser Umstand ändere aber nichts daran, dass die weitere Umsetzungsphase am Rhein mindestens bis 2019 oder gar 2020 dauern wird.

Neudeutsch könnte also von einem „On-going-Process“ gesprochen werden, mit dem der Datenschutzbeauftragte aber kein Problem hat. Vor seiner aktuellen Aufgabe und der Station im OB-Büro war er zehn Jahre im städtischen Organisationsamt dafür verantwortlich, große Vorhaben umzusetzen. „Daher weiß ich, was es braucht, Projekte breit zu streuen, über längere Zeiträume zu managen und die Betroffenen in der Verwaltung mitzunehmen.“

Evaluation bis Ende 3. Quartal

Zudem ist man in Köln schon jetzt mit einer Evaluation des bisherigen Umsetzungsprozesses befasst. Auf der Agenda bis zum Ende des 3. Quartals 2018 steht dabei auch einen Check zwischen Aufwand, Nutzen und zeitlicher Relevanz. Es sei klar, sagt Fricke, dass in der Verwaltung insgesamt ein deutlicher Mehraufwand entstehe, sich dieser aber sehr breit auf Ämter und Stellen verteile. Konkrete Ergebnisse sollen im Herbst vorliegen.